lcer00
Goto Top

Updatestrategie - Freitagsfrage zum Patchday

Hallo zusammen,

welche Strategie beim installieren von Sicherheitspatches verfolgt ihr? Bei den problematischen Januarupdates lag ja eine - sagen wir - besondere Konstellation vor.
  • Es waren Sicherheitsupdates, keine einfachen Updates.
  • Betroffen waren wohl Hyper-V und Domänenkontroller.
  • Die Probleme traten nicht unmittelbar nach dem Update auf, sondern teilweise bis zu einem Tag zeitverzögert.

Für mich haben-hatten? Domänencontroller und Virtualisierungshosts immer eine gewisse Priorität was das Patchen angeht und haben das schnell erledigt. Damit ist man ja in diesem Fall ein wenig auf die Nase gefallen (wir waren auch betroffen).

Meine Frage ist - wir geht Ihr mit diesen Updates um? Die Tier-0 Geräte sollten möglichst auf einem aktuellen Patchstand laufen. Allerdings kann man sich einen Ausfall hier oft am wenigsten leisten. Welche Updates sollte man sofort einspielen? Wann kann man sich eine längere Testphase "leisten" (Wobei ja klar ist, dass der Testbetrieb nie den Produktionsbetrieb 1:1 simulieren kann)? Agiert Ihr bei bei Sicherheitsupdates gegen Zero-Day-Exploits oder gegen besonders "gefährliche" Schwachstellen anders, als bei Sicherheitsupdates gegen ältere, bekannte Probleme? Oder hat man einfach manchmal Pech?

Grüße

lcer

Content-ID: 1721970373

Url: https://administrator.de/contentid/1721970373

Ausgedruckt am: 25.11.2024 um 04:11 Uhr

148656
148656 14.01.2022 um 10:47:52 Uhr
Goto Top
Moin,

Das einfachste ist es, die Updates nach dem Backup einzuspielen.
Den sollte es nach der Installation der Updates zu Problemen kommen, die man nicht lösen kann, kann man die Umgebung zurücksetzten.
Man kann im Vorfeld so viel Testen wie man möchte. Am Ende bestellt man Tequila, wenn einem das Leben Zitronen gibt.

Gruß
C.C.
ArnoNymous
Lösung ArnoNymous 14.01.2022 aktualisiert um 11:05:22 Uhr
Goto Top
Moin,

die Erfahrung hat uns ja mittlerweile gelehrt, dass Microsoft uns immer wieder mit freudiger Arbeit beschenkt.
Sofern es also kein kritisches Sicherheitsupdate eines Dienstes ist, der auch von außen aus angreifbar ist (Exchange z.B.) warte ich doch für gewöhnlich etwas ab, bevor ich die Updates installiere. Nächster Wartungstermin o.ä.

Genannte kritische Updates werden aber zeitnahe installiert. Hier wiederum hat sich gezeigt, dass man damit gar nicht schnell genug sein kann. Erst bei hafnium hatte ein Kunde von mir Pech, dass er in meiner Abarbeitungsliste einfach weiter hinten stand und es ihn in dieser Zeit dann erwischt hat.

Hier muss man also einfach die Risiken gegeneinander abwiegen. Ausfall der Server durch Update oder Angriff durch fehlende Updates.

Gruß
Drohnald
Lösung Drohnald 14.01.2022 aktualisiert um 11:37:29 Uhr
Goto Top
Hi,

bei den kleinen KMUs die partout keine Wartungsverträge wollen stelle ich die Updates auf automatisch mit täglich prüfen.
Lieber verlieren die 2 Arbeitstage durch Restore (Restorezeit + die Arbeit vom Vortag) als sich über eine Lücke was einzufangen und dann wochenlang Probleme zu haben.

Zum Glück gibt es so Totalausfälle durch Updates gerade bei so kleinen Systemen die kaum Abhängigkeiten haben sehr selten.

Edit: Zur Größeneinordnung: 5 Server oder weniger, AD nur ca. in 50% der Fälle.

Gruß
itisnapanto
itisnapanto 14.01.2022 um 11:59:59 Uhr
Goto Top
Hab mir mittlerweile angewöhnt vor dem patchen eine extra Sicherung zu machen und bei VMs mit Prüfpunkten zu arbeiten.
Einfach grausig was im Moment mit dem Patchen von MS los ist.
Doskias
Lösung Doskias 14.01.2022 um 12:23:39 Uhr
Goto Top
Moin,

das ist keine Frage die man pauschalbeantworten kann. Es kommt immer auf die Situation drauf an, aber deine letzte Frage kann man mit ja beantworten.
Oder hat man einfach manchmal Pech?
Ja, manchmal hat man einfach Pech, egal was du machst und
Welche Updates sollte man sofort einspielen?
kann man auch nur damit beantworten, dass es die sind, die du halt sofort brauchst.

Das ganze klingt jetzt erstmal blöd, aber ein Beispiel veranschaulicht es denke ich sehr gut und @ArnoNymous hat es auch schon geschrieben:
Hier muss man also einfach die Risiken gegeneinander abwiegen.

Wir haben beispielsweise den Hafnium-Exploit relativ spät gefixed, weil unser Mailserver nicht von außen erreichbar ist. Wir haben keinen Anwender der von Extern auf seine Mails zugriefen muss. Und von unterwegs gibt's halt nur VPN mit RDP auf Notebooks. OWA ist also nicht erreichbar, also interessiert es mich nicht welche Angriffe dadurch kommen könnten. Trotzdem wird das natürlich irgendwann gefixed, nur nicht mit Priorität. Ich hab lange genug in Systemhäusern gearbeitet um zu wissen: Man kann es nicht allen recht machen und wie ArnoNymous schrieb, irgendeiner ist immer der letzte auf der Liste, der Pech hat. Den trifft es dann vielleicht.
Eigentlich müsste man bei dem KB erstmal lesen was der macht und jedes Update bewerten wie relevant es ist. Das müsste man dann für jeden Kunden separat machen und soviel Zeit hat keiner. Auch in der internen IT nicht. Also muss man einen Weg finden, der der beste für die derzeitige Situation ist. Bei uns herrscht hier zwischen den Kollegen keine Einigkeit. Ich würde Updates gerne immer Montags automatisch installieren lassen, der Kollege der am längeren Hebel sitzt nur Montags vor dem Patch-Day. Der Konsens ist er kümmert sich um die Updates und sorgt dafür, dass sie vor dem Patchday installiert werden, wenn ich es für nötig halte installiere ich vorher händisch. Ich sag jetzt nicht, wie oft ich es für nötig halte, sie vorher zu installieren face-wink
Ich persönlich installiere aber frühestens 24 Stunden, eher 48 Stunden, nach dem Release. Der Grund ist relativ einfach. Erstens: Wenn ich mal zwei tage krank bin, bleibt es eh liegen. Zweitens: nach 24 bis 48 Stunden gibt es schon die ersten Berichte wie in diesem Fall und in einigen Fällen hat MS das Update bereits zurückgerufen. Dadurch verbringe ich nicht unnötig Zeit mich mit Fehlern rumzuschlagen, sondern kann (wie in dem Fall) die Lösung direkt abrufen. Klar. Ich bin dadurch etwas länger angreifbar, aber genau ist das Risiko was bei jedem Update abgewogen werden muss.

Du darfst auch nicht vergessen, dass Windows-Updates nur einen Teil des Gesamtkonzeptes darstellen. Hast du Beispielsweise einen Exploit, der von fremden Seiten Code nachlädt ist das erstmal kritisch. Wenn deine Firewall allerdings als White-List-Firewall arbeitet (wie bei uns), juckt dich das erstmal kaum, denn die Wahrscheinlichkeit, dass der Schadcode auf einer der derzeit 251 erreichbaren Seiten liegt ist eher gering. Cloudspeicher wie OneDrive und Co. sind generell geblockt.

Auch das Log4j Problem war bzw. ist für uns keins. Eine meiner Vorgaben an die ich mich halten muss (ob zu recht oder nicht, ist jetzt nicht der Punkt) ist, dass keine in JAVA-Programmierte Applikation auf den Rechnern/Server genutzt werden darf. Das macht in einigen Fällen die Arbeit etwas umständlich, da recht häufig nach JAVA-freien Alternativen gesucht werden muss und diese Alternativen sind oft nicht so anwenderfreundlich, aber auch das gilt es im Hinterkopf zu behalten, wenn es darum geht wie kritisch ein Update ist.

Ich hoffe der lange Text hilft dir deine Frage zu beantworten und in der Risikoabwägung zwischen sofort installieren und warten.

Gruß
Doskias
Coreknabe
Coreknabe 14.01.2022 um 15:56:31 Uhr
Goto Top
Zitat von @itisnapanto:

Hab mir mittlerweile angewöhnt vor dem patchen eine extra Sicherung zu machen und bei VMs mit Prüfpunkten zu arbeiten.
Einfach grausig was im Moment mit dem Patchen von MS los ist.

Machst Du das für alle VMs, also auch DCs? Stelle mir die Frage, ob man das für einen kurzen Zeitraum (1-2 Stunden) riskieren kann.
itisnapanto
itisnapanto 17.01.2022 um 08:29:05 Uhr
Goto Top
Zitat von @Coreknabe:

Zitat von @itisnapanto:

Hab mir mittlerweile angewöhnt vor dem patchen eine extra Sicherung zu machen und bei VMs mit Prüfpunkten zu arbeiten.
Einfach grausig was im Moment mit dem Patchen von MS los ist.

Machst Du das für alle VMs, also auch DCs? Stelle mir die Frage, ob man das für einen kurzen Zeitraum (1-2 Stunden) riskieren kann.

Ja alle VMs . DCs da nicht virtuell. Aber die hab man dann schnell aus der davor durchgeführten DaSi geholt und sind her mehrfach vorhanden.

Gruss
Coreknabe
Coreknabe 17.01.2022 aktualisiert um 17:48:51 Uhr
Goto Top
Vielleicht hat das mit den Snapshots ja mal jemand getestet. Mir ist bewusst, dass das nicht in 100% der Fälle klappen muss... Geht halt doch um einiges schneller, als die Wiederherstellung aus einem Backup.